【深度解析】SecOC如何打造安全的车内网络通信？

本文主要是介绍【深度解析】SecOC如何打造安全的车内网络通信？，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

在智能网联汽车高速发展下，车联网功能越发普遍，在此背景下车载通讯网络的信息安全防护机制变的越来越重要。

随着汽车对网络信息的需求提高，车载CAN网络逐渐开放了接口，导致来自外部的信息安全攻击可以通过无线网络（蓝牙、无线局域网）或者在线诊断接口来介入汽车的CAN总线网络，从而造成非法监听CAN报文，恶意修改CAN报文再重新广播等严重后果。

并且在最近几年中，新闻媒体陆续报道了多起针对汽车网络的恶意攻击行为，引发了大家的热烈讨论：

· 恶意攻击是否能够实质上影响车载网络通信？

· 是否可以通过车载的无线终端或者OBD接口影响车的行为？

· 对于这些恶意的攻击，我们有哪些反制手段？

因此，加密通信（Cyber Security或Security Onboard Communication）受到了越来越多的关注。AUTOSAR组织补充了全称为车载安全通讯（SecOC）Secure Onboard Communication的组件，为车载通讯总线引入了一套通信加密和验证的标准，用来保护车辆内ECU之间的网络通信，可以说，SecOC是目前为止车载网络上一种有效的信息安全方案。

01 什么是网络安全

这里我们经常将如下几类放在一块比较；

1) 网络安全 vs 信息安全

2) Security vs Safety

3) Cyber Security vs Network Security

那么如何区分呢？

举个例子，今天我们讲网络安全那么主要会介绍SecOC，但是如果今天主要介绍信息安全，那应该会讲如何去保护个人的敏感信息，比如你的各种密码等等。

然后在英文安全描述这里也有两个单词，分别是Security & Safety。

· Safety主要更加偏向于意外的因素比如人身安全这种；

· Security 会更强调人为的因素，会更加关注用户的一些敏感信息等，比如我们今天的安全方案SecOC就会使用Security。

同时网络安全也存在两种英文表达，分别是Cyber Security&Network Security。

· Network Security主要更侧重的是在通讯技术上针对数据的保护，比如节点与节点之间通过CAN完成受保护数据之间的信息交互；

· Cyber Security更加强调的是应对威胁的防御手段，更关注是谁对我产生的威胁。

那么我们今天主要介绍的SecOC就是车载网络安全通讯时可以使用的一种解决方案。

02 SecOC实际应用

SecOC模块属于AUTOSAR里一个独立的模块，其目的是为PDUs级数据交互提供资源高效和实用的认证机制。也就是，SecOC模块能为总线上传输的数据提供身份验证，可以有效地检测出数据回放、欺骗以及篡改等攻击手段。

SecOC的应用方法与E2E类似，也是通过使用校验和计数器的方式达到对数据的保护。校验通常是使用AES-128的CMAC算法去计算MAC，但是在真正发送的时候MAC是需要进行截取的；而计数器是使用FV(Freshness value)新鲜度值的方式去实现，同时FV也支持截取。

MAC的计算则是把受保护的I-PDU（包括关联的Data ID）和从新鲜度值管理模块获取的新鲜度值，与密钥结合起来，用于MAC的计算。

最终我们可以得到以下数据：Data ID、Authentic I-PDU、截取后的FV、截取后的MAC。这样发送方就可以将四个数据封包后一起发出去，而接收方也是相反的应用同样的方法对接收到数据进行解析和MAC验证，从而确定数据的正确性。

对于新鲜度值的使用主要有以下三种方式

1. Signal Counter(单一模式)

2. Timestamp(时间戳)

3. Multiple Freshness Counters(组合新鲜度)

◇ 单一模式主要是使用单一的计数器去实现，与E2E的使用方法一样；

◇ 时间戳是可以通过计数循序时间来反映数据的新鲜度；

组合新鲜度是较为复杂的模式，接下来会详细描述，同时该方式也是目前主要会选择的实现方式。

03 新鲜度值的应用方法

组合的新鲜度值主要包含如图的几个计数器：

1) Trip Counter（同步计数器）

2) Reset Counter（重置计数器）

3) Message Counter（消息计数器）

4) Reset Flag（重置位）

上文有提到FV也是支持可以截取的，那么截取的就是SecOCFreshnessValueTxLength 的这部分，真正发送的也就是Message Counter Lower 和Reset Flag，其他的内容对于接收方来说在安全报文里是看不到。

而实际安全报文不发送的同步计数器和重置计数器则是通过同步消息报文发送的，如下是同步消息报文结构图示。同步消息的主要作用是保证安全PDU发送和接收端新鲜度值信息的一致性。

在介绍每个计数器的使用方法之前，先了解下以下几个概念：

● Freshness Value: 新鲜度值，作用于发送节点和接收节点。

● Synchronization Message: 同步消息，作用于主节点和从节点。

在SecOC实际应用的时候，存在四个不同的节点概念，主要是发送节点和接收节点、主节点和从节点。

发送/接收节点很好理解，就是真正进行安全PDU数据交互的ECU，发送的ECU就是发送节点，接收的ECU就是接收节点；那么主/从节点指的就是处理Synchronization Message 同步消息的ECU，主节点通过同步消息分发最新的新鲜度值，从节点则是根据接收到的同步消息进行新鲜度值的同步。

理解了以上概念后，我们再来看计数器的应用方法就简单了。下表就是对每个计数器具体应用的方法：

计数器	描述
同步计数器	主节点会通过新鲜度值同步消息将当前同步计数器的值发送给从节点所在ECU。从节点需要维护该值。
重置计数器	该计数器在主节点周期性的步进自增。主节点ECU会通过新鲜度值同步消息将当前重置计数器的值发送给从节点所在ECU。从节点需要维护该值。
消息计数器	该计数器随发送方ECU每次发送消息而步进增加。它由发送方ECU对每个安全消息进行管理。 "MsgCntLower"是指消息计数器传输的截断新鲜度值的范围； "MsgCntUpper"指的是消息计数器传输的截断新鲜度值中不包括的范围。
重置低位	其值与重置计数器同步。为重置计数器的低有效位。